KR20230000376A - Security monitoring intrusion detection alarm processing device and method using artificial intelligence - Google Patents

Security monitoring intrusion detection alarm processing device and method using artificial intelligence Download PDF

Info

Publication number
KR20230000376A
KR20230000376A KR1020210082724A KR20210082724A KR20230000376A KR 20230000376 A KR20230000376 A KR 20230000376A KR 1020210082724 A KR1020210082724 A KR 1020210082724A KR 20210082724 A KR20210082724 A KR 20210082724A KR 20230000376 A KR20230000376 A KR 20230000376A
Authority
KR
South Korea
Prior art keywords
packet
security control
cluster
alarm processing
intrusion detection
Prior art date
Application number
KR1020210082724A
Other languages
Korean (ko)
Other versions
KR102559398B1 (en
Inventor
윤명근
손현기
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR1020210082724A priority Critical patent/KR102559398B1/en
Publication of KR20230000376A publication Critical patent/KR20230000376A/en
Application granted granted Critical
Publication of KR102559398B1 publication Critical patent/KR102559398B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • G06N5/025Extracting rules from data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a security control intrusion detection alarm processing device using artificial intelligence and a method thereof, which automatically generate an exception rule based on payload content by applying a divide-and-conquer strategy to a security control event. The device comprises: a packet receiving part receiving a plurality of event packets; a packet classification part classifying the plurality of event packets in accordance with a prescribed criterion; a packet vectorizing part vectorizing classified event packets based on a payload of each packet to convert the event packets into packet vectors; a packet clustering part clustering the packet vectors to generate a plurality of clusters; a cluster labeling part inspecting the plurality of clusters to assign a label in accordance with a cluster property; and a rule generation part generating a detection rule for security control based on label information for the plurality of clusters.

Description

인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법{SECURITY MONITORING INTRUSION DETECTION ALARM PROCESSING DEVICE AND METHOD USING ARTIFICIAL INTELLIGENCE}Security control intrusion detection alarm processing device and method using artificial intelligence

본 발명은 인공지능 보안관제 기술에 관한 것으로, 보다 상세하게는 분할 정복 전략을 보안관제 이벤트에 적용하여 페이로드 내용 기반으로 예외 규칙을 자동적으로 생성하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법에 관한 것이다.The present invention relates to artificial intelligence security control technology, and more particularly, to a security control intrusion detection alarm processing device using artificial intelligence that automatically creates an exception rule based on payload content by applying a divide and conquer strategy to a security control event, and It's about how.

네트워크 보안을 위해 네트워크 트래픽을 캡처하고, 캡처한 데이터를 분석해 네트워크 트래픽 또는 발생 가능한 악의적 활동과 관련된 문제를 식별할 필요가 있다. 특히, 네트워크 트래픽을 통해 전송되는 데이터를 분석하는 방법 중 패킷 레벨에서 파일의 특정 정보를 수집하고 이를 통해 유사파일을 검출하는 방법이 사용될 수 있다.For network security, it is necessary to capture network traffic and analyze the captured data to identify issues related to network traffic or possible malicious activity. In particular, among methods of analyzing data transmitted through network traffic, a method of collecting specific information of a file at a packet level and detecting a similar file through this may be used.

또한, 보안장비를 통해 네트워크 트래픽에 대한 보안관제를 수행할 수도 있으며, 이를 위해 보안장비를 사용자의 네트워크에 설치하여 전송되는 패킷의 보안성을 검사할 수 있다.In addition, it is possible to perform security control on network traffic through security equipment, and for this purpose, security equipment can be installed in the user's network to check the security of transmitted packets.

한편, IPS(Intrusion Prevention System)은 보안관제요원(전문가)의 경험에 의해 생성된 보안규칙을 통해 보안이벤트를 발생시킬 수 있다. IPS가 설치된 네트워크마다 주기적인 네트워크 사용 패턴이 다를 수 있으므로 보안규칙도 주관적으로 생성될 수 있다. 이때, 보안 규칙(또는 탐지 규칙, 예외 규칙)은 주로 출발지, 목적지 IP 주소, 포트번호 정보나 실제 패킷의 근본적인 내용(페이로드, payload)에서 공격 패턴을 탐지하는 규칙에 해당할 수 있다.On the other hand, IPS (Intrusion Prevention System) can generate security events through security rules created by the experience of security control personnel (experts). Since the periodic network usage pattern may be different for each network in which the IPS is installed, security rules may also be subjectively created. At this time, the security rule (or detection rule, exception rule) may correspond to a rule for detecting an attack pattern mainly from source, destination IP address, port number information or fundamental contents (payload) of an actual packet.

또한, 보안관제에 있어 알람 피로(alert fatigue)는 오랜 기간 해결하지 못한 문제이다. 알람 피로는 정상 패킷이라 하더라도 설정된 탐지 규칙에 따라 탐지 조건을 충족하는 경우 보안이벤트가 반복적으로 생성되는 과정에서 발생할 수 있다. 알람 피로를 해결하는 간단한 방법은 자주 발생하는 이벤트를 예외로 두어 보안이벤트가 발생하지 않도록 강제하는 방법이다. 다만, 이러한 방법은 향후 거짓 음성(false negative)이 발생할 가능성이 존재하고, 새로운 IP 또는 이벤트명 등장 시 수작업이 요구되는 등의 문제점을 가질 수 있다.In addition, alarm fatigue in security control is a problem that has not been solved for a long time. Alarm fatigue may occur in the process of repeatedly generating security events when detection conditions are met according to set detection rules even for normal packets. A simple way to solve alarm fatigue is to force security events not to occur by making exceptions for frequently occurring events. However, this method may have problems such as the possibility of false negatives occurring in the future and manual work required when a new IP or event name appears.

한국공개특허 제10-2017-0091989호 (2017.08.10)Korean Patent Publication No. 10-2017-0091989 (2017.08.10)

본 발명의 일 실시예는 분할 정복 전략을 보안관제 이벤트에 적용하여 페이로드 내용 기반으로 예외 규칙을 자동적으로 생성하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide a security control intrusion detection alarm processing apparatus and method using artificial intelligence that automatically creates an exception rule based on payload contents by applying a divide and conquer strategy to a security control event.

본 발명의 일 실시예는 IP, 이벤트명 이외에 페이로드 내용을 기준으로 동일한 또는 매우 유사한 이벤트들을 그룹화 하여 그룹 특성에 따라 보안관제를 위한 탐지 규칙을 설정하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is a security control intrusion detection alarm processing device using artificial intelligence that groups the same or very similar events based on payload content in addition to IP and event name and sets detection rules for security control according to group characteristics And to provide a method.

실시예들 중에서, 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치는 복수의 이벤트 패킷들을 수신하는 패킷 수신부; 상기 복수의 이벤트 패킷들을 소정의 기준에 따라 분류하는 패킷 분류부; 분류된 이벤트 패킷들을 각 패킷의 페이로드(payload)를 기초로 벡터화 하여 패킷 벡터들로 변환하는 패킷 벡터화부; 상기 패킷 벡터들을 군집화 하여 복수의 군집들을 생성하는 패킷 군집화부; 상기 복수의 군집들 각각을 검사하여 군집 특성에 따른 라벨(label)을 부여하는 군집 라벨링부; 및 상기 복수의 군집들에 대한 라벨 정보를 기초로 보안관제를 위한 탐지 규칙을 생성하는 규칙 생성부;를 포함한다.Among the embodiments, an apparatus for processing an intrusion detection alarm for security control using artificial intelligence includes a packet receiving unit for receiving a plurality of event packets; a packet classification unit to classify the plurality of event packets according to a predetermined criterion; a packet vectorization unit which vectorizes the classified event packets based on the payload of each packet and converts them into packet vectors; a packet clustering unit generating a plurality of clusters by clustering the packet vectors; a cluster labeling unit for examining each of the plurality of clusters and assigning a label according to cluster characteristics; and a rule generating unit generating a detection rule for security monitoring based on the label information of the plurality of clusters.

상기 복수의 이벤트 패킷들 각각은 시간(t), 출발주소(sip), 도착주소(dip), 출발포트(sp), 도착포트(dp), 이벤트 네임(en) 및 상기 페이로드(p)를 포함할 수 있다.Each of the plurality of event packets includes a time (t), a source address (sip), a destination address (dip), a source port (sp), a destination port (dp), an event name (en), and the payload (p). can include

상기 패킷 분류부는 이벤트 패킷의 주소와 이벤트 네임을 기준으로 상기 복수의 이벤트 패킷들을 분류할 수 있다.The packet classification unit may classify the plurality of event packets based on an event packet address and an event name.

상기 패킷 벡터화부는 상기 페이로드를 복수의 토큰(token)들 또는 복수의 청크(chunk)들로 분할하고 TF-IDF 알고리즘, 카운트(COUNT) 알고리즘 및 피처해싱(FH) 알고리즘을 포함하는 벡터화 기법을 적용하여 상기 패킷 벡터들을 생성할 수 있다.The packet vectorizer divides the payload into a plurality of tokens or chunks and applies a vectorization technique including a TF-IDF algorithm, a COUNT algorithm, and a feature hashing (FH) algorithm By doing so, the packet vectors can be generated.

상기 패킷 벡터화부는 상기 패킷 벡터들의 크기를 소정의 벡터 사이즈(vector size)로 제한할 수 있다.The packet vectorizer may limit the size of the packet vectors to a predetermined vector size.

상기 패킷 군집화부는 상기 패킷 벡터들 간의 거리에 관한 유사성을 기초로 상기 복수의 군집들을 생성할 수 있다.The packet clustering unit may generate the plurality of clusters based on similarity of distances between the packet vectors.

상기 군집 라벨링부는 상기 복수의 군집들 각각에 대해 군집 내 패킷 벡터들을 샘플링하고 이상 여부를 분석한 결과에 따라 해당 군집의 군집 특성을 결정할 수 있다.The cluster labeling unit may sample packet vectors in a cluster for each of the plurality of clusters and determine cluster characteristics of the corresponding cluster according to a result of analyzing whether or not there is an anomaly.

상기 군집 라벨링부는 샘플링된 상기 패킷 벡터들에 대한 분석 결과 다수 분포에 해당하는 특성을 상기 군집 특성으로 결정할 수 있다.The cluster labeling unit may determine a characteristic corresponding to a majority distribution as the cluster characteristic as a result of analyzing the sampled packet vectors.

상기 규칙 생성부는 상기 군집 특성이 정상인 경우 해당 특정 군집을 상기 보안관제를 위한 화이트 리스트에 추가하고, 그렇지 않은 경우 상기 해당 특정 군집을 상기 보안관제를 위한 블랙 리스트에 추가할 수 있다.The rule generation unit may add the corresponding specific cluster to the white list for security monitoring if the cluster characteristics are normal, and if not, add the corresponding specific cluster to the black list for security monitoring.

상기 장치는 상기 탐지 규칙을 기초로 외부로부터 수신하는 이벤트 패킷에 대한 보안관제를 수행하고 침입탐지에 관한 알람을 생성하는 보안관제 수행부;를 더 포함할 수 있다.The apparatus may further include a security monitoring unit configured to perform security monitoring on event packets received from the outside based on the detection rule and generate an alarm for intrusion detection.

실시예들 중에서, 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법은 복수의 이벤트 패킷들을 수신하는 단계; 상기 복수의 이벤트 패킷들을 소정의 기준에 따라 분류하는 단계; 분류된 이벤트 패킷들을 각 패킷의 페이로드(payload)를 기초로 벡터화 하여 패킷 벡터들로 변환하는 단계; 상기 패킷 벡터들을 군집화 하여 복수의 군집들을 생성하는 단계; 상기 복수의 군집들 각각을 검사하여 군집 특성에 따른 라벨(label)을 부여하는 단계; 상기 복수의 군집들에 대한 라벨 정보를 기초로 보안관제를 위한 탐지 규칙을 생성하는 단계; 및 상기 탐지 규칙을 기초로 외부로부터 수신하는 이벤트 패킷에 대한 보안관제를 수행하고 침입탐지에 관한 알람을 생성하는 단계;를 포함한다.Among the embodiments, a security control intrusion detection alarm processing method using artificial intelligence includes receiving a plurality of event packets; classifying the plurality of event packets according to a predetermined criterion; vectorizing the classified event packets based on the payload of each packet and converting them into packet vectors; generating a plurality of clusters by clustering the packet vectors; examining each of the plurality of clusters and assigning a label according to cluster characteristics; generating a detection rule for security monitoring based on label information on the plurality of clusters; and performing security control on an event packet received from the outside based on the detection rule and generating an alarm for intrusion detection.

상기 패킷 벡터들로 변환하는 단계는 상기 페이로드를 복수의 토큰(token)들 또는 복수의 청크(chunk)들로 분할하고 TF-IDF 알고리즘, 카운트(COUNT) 알고리즘 및 피처해싱(FH) 알고리즘을 포함하는 벡터화 기법을 적용하여 상기 패킷 벡터들을 생성하는 단계를 포함할 수 있다.The converting into packet vectors divides the payload into a plurality of tokens or a plurality of chunks and includes a TF-IDF algorithm, a COUNT algorithm and a feature hashing (FH) algorithm and generating the packet vectors by applying a vectorization technique of

상기 복수의 군집들을 생성하는 단계는 상기 패킷 벡터들 간의 거리에 관한 유사성을 기초로 상기 복수의 군집들을 생성하는 단계를 포함할 수 있다.The generating of the plurality of clusters may include generating the plurality of clusters based on similarity of distances between the packet vectors.

상기 라벨(label)을 부여하는 단계는 상기 복수의 군집들 각각에 대해 군집 내 패킷 벡터들을 샘플링하고 이상 여부를 분석한 결과에 따라 해당 군집의 군집 특성을 결정하는 단계를 포함할 수 있다.The assigning of the label may include sampling packet vectors within the cluster for each of the plurality of clusters and determining a cluster characteristic of the corresponding cluster according to a result of analyzing whether or not there is an anomaly.

상기 탐지 규칙을 생성하는 단계는 상기 군집 특성이 정상인 경우 해당 특정 군집을 상기 보안관제를 위한 화이트 리스트에 추가하고, 그렇지 않은 경우 상기 해당 특정 군집을 상기 보안관제를 위한 블랙 리스트에 추가하는 단계를 포함할 수 있다.The generating of the detection rule includes adding the corresponding specific cluster to the white list for security monitoring if the cluster characteristics are normal, and adding the corresponding specific cluster to the black list for security monitoring if not. can do.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technology may have the following effects. However, it does not mean that a specific embodiment must include all of the following effects or only the following effects, so it should not be understood that the scope of rights of the disclosed technology is limited thereby.

본 발명의 일 실시예에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법은 분할 정복 전략을 보안관제 이벤트에 적용하여 페이로드 내용 기반으로 예외 규칙을 자동적으로 생성할 수 있다.An apparatus and method for processing a security control intrusion detection alarm using artificial intelligence according to an embodiment of the present invention apply a divide and conquer strategy to a security control event to automatically generate exception rules based on payload contents.

본 발명의 일 실시예에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법은 IP, 이벤트명 이외에 페이로드 내용을 기준으로 동일한 또는 매우 유사한 이벤트들을 그룹화 하여 그룹 특성에 따라 보안관제를 위한 탐지 규칙을 설정할 수 있다.Security control intrusion detection alarm processing apparatus and method using artificial intelligence according to an embodiment of the present invention groups the same or very similar events based on payload content in addition to IP and event name, and detects for security control according to group characteristics You can set rules.

도 1은 본 발명에 따른 알람 처리 시스템을 설명하는 도면이다.
도 2는 도 1의 알람 처리 장치의 시스템 구성을 설명하는 도면이다.
도 3은 도 1의 알람 처리 장치의 기능적 구성을 설명하는 도면이다.
도 4는 본 발명에 따른 알람 처리 과정을 설명하는 순서도이다.
도 5는 본 발명에 따른 알람 처리 방법과 알람 피로 문제 간의 관계를 설명하는 도면이다.
도 6은 본 발명에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법을 설명하는 도면이다.
도 7은 본 발명에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법에 관한 실험 결과를 설명하는 도면이다.1 is a diagram illustrating an alarm processing system according to the present invention.
FIG. 2 is a diagram explaining the system configuration of the alarm processing device of FIG. 1 .
FIG. 3 is a diagram explaining the functional configuration of the alarm processing device of FIG. 1 .
4 is a flowchart illustrating an alarm processing process according to the present invention.
5 is a diagram illustrating a relationship between an alarm processing method according to the present invention and an alarm fatigue problem.
6 is a diagram explaining a security control intrusion detection alarm processing method using artificial intelligence according to the present invention.
7 is a diagram explaining the experimental results of the security control intrusion detection alarm processing method using artificial intelligence according to the present invention.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Since the description of the present invention is only an embodiment for structural or functional description, the scope of the present invention should not be construed as being limited by the embodiments described in the text. That is, since the embodiment can be changed in various ways and can have various forms, it should be understood that the scope of the present invention includes equivalents capable of realizing the technical idea. In addition, since the object or effect presented in the present invention does not mean that a specific embodiment should include all of them or only such effects, the scope of the present invention should not be construed as being limited thereto.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of terms described in this application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are used to distinguish one component from another, and the scope of rights should not be limited by these terms. For example, a first element may be termed a second element, and similarly, a second element may be termed a first element.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It should be understood that when an element is referred to as being “connected” to another element, it may be directly connected to the other element, but other elements may exist in the middle. On the other hand, when an element is referred to as being "directly connected" to another element, it should be understood that no intervening elements exist. Meanwhile, other expressions describing the relationship between components, such as “between” and “immediately between” or “adjacent to” and “directly adjacent to” should be interpreted similarly.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Expressions in the singular number should be understood to include plural expressions unless the context clearly dictates otherwise, and terms such as “comprise” or “having” refer to an embodied feature, number, step, operation, component, part, or these. It should be understood that it is intended to indicate that a combination exists, and does not preclude the possibility of the presence or addition of one or more other features, numbers, steps, operations, components, parts, or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, the identification code (eg, a, b, c, etc.) is used for convenience of explanation, and the identification code does not describe the order of each step, and each step clearly follows a specific order in context. Unless otherwise specified, it may occur in a different order than specified. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be implemented as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all types of recording devices storing data that can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, and optical data storage devices. In addition, the computer-readable recording medium may be distributed to computer systems connected through a network, so that computer-readable codes may be stored and executed in a distributed manner.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs, unless defined otherwise. Terms defined in commonly used dictionaries should be interpreted as consistent with meanings in the context of the related art, and cannot be interpreted as having ideal or excessively formal meanings unless explicitly defined in the present application.

도 1은 본 발명에 따른 알람 처리 시스템을 설명하는 도면이다.1 is a diagram illustrating an alarm processing system according to the present invention.

도 1을 참조하면, 알람 처리 시스템(100)은 사용자 단말(110), 알람 처리 장치(130) 및 데이터베이스(150)를 포함할 수 있다.Referring to FIG. 1 , the alarm processing system 100 may include a user terminal 110 , an alarm processing device 130 and a database 150 .

사용자 단말(110)은 네트워크를 이용하여 데이터 전송 및 다양한 서비스를 이용할 수 있는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. 사용자 단말(110)은 알람 처리 장치(130)와 네트워크를 통해 연결될 수 있고, 복수의 사용자 단말(110)들은 알람 처리 장치(130)와 동시에 연결될 수 있다.The user terminal 110 may correspond to a computing device capable of transmitting data and using various services using a network, and may be implemented as a smartphone, laptop, or computer, but is not necessarily limited thereto, and various devices such as a tablet PC. can also be implemented. The user terminal 110 may be connected to the alarm processing device 130 through a network, and a plurality of user terminals 110 may be simultaneously connected to the alarm processing device 130 .

알람 처리 장치(130)는 사용자 단말(110) 간의 데이터 통신이나 외부 시스템과의 연결에 따른 네트워크 이용 과정에서 네트워크 상태를 모니터링을 수행하고 보안이벤트, 악성코드 등의 보안침입을 탐지하며 알람 생성 및 보안 조치를 시행할 수 있는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 알람 처리 장치(130)는 사용자 단말(110)과 네트워크를 통해 연결될 수 있고 정보를 주고받을 수 있다. 일 실시예에서, 알람 처리 장치(130)는 데이터베이스(150)와 연동하여 네트워크 모니터링 및 보안관제를 위해 필요한 데이터를 저장할 수 있다.The alarm processing device 130 monitors the network status in the process of data communication between the user terminals 110 or connection to an external system and uses the network, detects security events, security intrusions such as malicious codes, generates alarms, and secures security. It may be implemented as a server corresponding to a computer or program capable of executing actions. The alarm processing device 130 may be connected to the user terminal 110 through a network and exchange information. In one embodiment, the alarm processing device 130 may store data necessary for network monitoring and security control in conjunction with the database 150 .

데이터베이스(150)는 알람 처리 장치(130)의 동작 과정에서 필요한 다양한 정보들을 저장하는 저장장치에 해당할 수 있다. 데이터베이스(150)는 네트워크 모니터링 과정에서 수집된 패킷 정보를 저장할 수 있고, 침입탐지를 위한 다양한 규칙들 및 인공지능 학습에 관한 정보를 저장할 수 있으며, 반드시 이에 한정되지 않고, 알람 처리 장치(130)가 패킷의 페이로드의 내용을 기반으로 침입탐지를 위한 탐지 규칙을 자동으로 생성하고 보안관제에 적용하는 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.The database 150 may correspond to a storage device for storing various pieces of information necessary for the operation of the alarm processing device 130 . The database 150 may store packet information collected during the network monitoring process, and may store various rules for intrusion detection and information related to artificial intelligence learning, but is not limited thereto, and the alarm processing device 130 may store In the process of automatically generating detection rules for intrusion detection based on the contents of packet payloads and applying them to security control, collected or processed information can be stored in various forms.

도 2는 도 1의 알람 처리 장치의 시스템 구성을 설명하는 도면이다.FIG. 2 is a diagram explaining the system configuration of the alarm processing device of FIG. 1 .

도 2를 참조하면, 알람 처리 장치(130)는 알람 처리 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함할 수 있다.Referring to FIG. 2 , the alarm processing device 130 may include a processor 210, a memory 230, a user input/output unit 250, and a network input/output unit 270.

프로세서(210)는 알람 처리 장치(130)가 동작하는 과정에서의 각 단계들을 처리하는 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(210)는 알람 처리 장치(130)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 알람 처리 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 210 may execute a procedure for processing each step in the operation of the alarm processing device 130, manage the memory 230 read or written throughout the process, and may manage the memory 230. ), you can schedule the synchronization time between volatile memory and non-volatile memory. The processor 210 can control the overall operation of the alarm processing device 130, and is electrically connected to the memory 230, the user input/output unit 250, and the network input/output unit 270 to control data flow between them. can The processor 210 may be implemented as a central processing unit (CPU) of the alarm processing device 130 .

메모리(230)는 SSD(Solid State Drive) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 알람 처리 장치(130)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The memory 230 may include an auxiliary storage device implemented as a non-volatile memory such as a solid state drive (SSD) or a hard disk drive (HDD) and used to store all data necessary for the alarm processing device 130, It may include a main memory implemented as a volatile memory such as RAM (Random Access Memory).

사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 알람 처리 장치(130)는 독립적인 서버로서 수행될 수 있다.The user input/output unit 250 may include an environment for receiving user input and an environment for outputting specific information to the user. For example, the user input/output unit 250 may include an input device including an adapter such as a touch pad, a touch screen, an on-screen keyboard, or a pointing device, and an output device including an adapter such as a monitor or touch screen. In one embodiment, the user input/output unit 250 may correspond to a computing device connected through a remote connection, and in such a case, the alarm processing device 130 may be implemented as an independent server.

네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.The network input/output unit 270 includes an environment for connecting to an external device or system through a network, and includes, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), and a VAN ( An adapter for communication such as Value Added Network) may be included.

도 3은 도 1의 알람 처리 장치의 기능적 구성을 설명하는 도면이다.FIG. 3 is a diagram explaining the functional configuration of the alarm processing device of FIG. 1 .

도 3을 참조하면, 알람 처리 장치(130)는 패킷 수신부(310), 패킷 분류부(320), 패킷 벡터화부(330), 패킷 군집화부(340), 군집 라벨링부(350), 규칙 생성부(360), 보안관제 수행부(370) 및 제어부(도 3에 미도시함)를 포함할 수 있다.Referring to FIG. 3 , the alarm processing device 130 includes a packet reception unit 310, a packet classification unit 320, a packet vectorization unit 330, a packet clustering unit 340, a cluster labeling unit 350, and a rule generation unit. 360, a security control performing unit 370, and a control unit (not shown in FIG. 3) may be included.

패킷 수신부(310)는 복수의 이벤트 패킷들을 수신할 수 있다. 여기에서, 복수의 이벤트 패킷들 각각은 시간(t), 출발주소(sip), 도착주소(dip), 출발포트(sp), 도착포트(dp), 이벤트 네임(en) 및 페이로드(p)를 포함할 수 있다. 즉, 이벤트 패킷(packet)은 네트워크를 통해 전송되는 데이터의 형식화된 블록에 해당할 수 있으며, 패킷 헤더(header)와 페이로드(payload)를 포함할 수 있다. 패킷 헤더는 시간(t), 출발주소(sip), 도착주소(dip), 출발포트(sp), 도착포트(dp), 이벤트 네임(en) 등을 포함할 수 있다. 복수의 이벤트 패킷들은 알람 처리 장치(130)의 외부로부터 네트워크를 통해 수신될 수 있으며, 알람 처리 장치(130)는 칩입탐지 시스템 또는 보안관제 시스템 상에서 라우터(router)를 통과한 이벤트 패킷들을 복사(tap)하여 칩입탐지를 위한 이벤트 패킷을 수집할 수 있다.The packet receiving unit 310 may receive a plurality of event packets. Here, each of the plurality of event packets includes time (t), source address (sip), destination address (dip), source port (sp), destination port (dp), event name (en), and payload (p). can include That is, an event packet may correspond to a formatted block of data transmitted over a network and may include a packet header and a payload. The packet header may include time (t), source address (sip), destination address (dip), source port (sp), destination port (dp), event name (en), and the like. A plurality of event packets may be received from the outside of the alarm processing device 130 through a network, and the alarm processing device 130 may copy (tap) event packets passing through a router on an intrusion detection system or a security control system. ) to collect event packets for intrusion detection.

패킷 분류부(320)는 복수의 이벤트 패킷들을 소정의 기준에 따라 분류할 수 있다. 즉, 패킷 분류부(320)는 이벤트 패킷에 포함된 다양한 정보들 중 적어도 하나를 분류를 위한 기준으로 결정하여 패킷 분류 동작을 처리할 수 있다. 일 실시예에서, 패킷 분류부(320)는 이벤트 패킷의 주소와 이벤트 네임을 기준으로 복수의 이벤트 패킷들을 분류할 수 있다.The packet classification unit 320 may classify a plurality of event packets according to a predetermined criterion. That is, the packet classification unit 320 may determine at least one of a variety of pieces of information included in the event packet as a criterion for classification and perform a packet classification operation. In one embodiment, the packet classification unit 320 may classify a plurality of event packets based on the event packet address and event name.

예를 들어, 패킷 분류부(320)는 소정의 분류기를 통해 이벤트 패킷을 분류할 수 있다. IETS(Internal/External, Terminal/Server) 분류기는 이벤트 패킷의 IP주소를 기준으로 내부(Internal) 또는 외부(External), 단말(Terminal) 또는 서버(Server)로 각각 분류할 수 있다. IETS 분류기에 의해 분류된 이벤트 패킷들은 각각 내부서버, 내부단말, 외부서버 및 외부단말로 구분된 집합들에 포함될 수 있다. 또한, 패킷 분류부(320)는 객체 식별기(object identifier)를 통해 이벤트 패킷을 분류할 수 있다. 객체 식별기(object identifier)는 이벤트 네임을 기준으로 이벤트 패킷을 분류할 수 있다. 결과적으로, 패킷 분류부(320)는 이벤트 패킷들을 IP와 네임(name)을 기준으로 순차적으로 분류하여 복수의 이벤트 패킷 집합들을 생성할 수 있다.For example, the packet classification unit 320 may classify event packets through a predetermined classifier. The IETS (Internal/External, Terminal/Server) classifier can classify event packets into internal or external, terminal or server based on the IP address of the event packet. Event packets classified by the IETS classifier may be included in sets classified into internal servers, internal terminals, external servers, and external terminals, respectively. Also, the packet classification unit 320 may classify event packets through an object identifier. An object identifier may classify event packets based on event names. As a result, the packet classification unit 320 may generate a plurality of event packet sets by sequentially classifying event packets based on IP and name.

패킷 벡터화부(330)는 분류된 이벤트 패킷들을 각 패킷의 페이로드(payload)를 기초로 벡터화 하여 패킷 벡터들로 변환할 수 있다. 패킷의 페이로드는 제어 정보와 사용자 데이터를 포함할 수 있으며, 페이로드에 저장된 정보에 따라 다양한 길이로 형성될 수 있다. 즉, 패킷 벡터화부(330)는 패킷의 페이로드를 벡터화 함으로써 패킷의 주요 내용에 관한 특징 정보를 획득할 수 있다.The packet vectorization unit 330 may vectorize the classified event packets based on the payload of each packet and convert them into packet vectors. The payload of the packet may include control information and user data, and may have various lengths according to information stored in the payload. That is, the packet vectorizer 330 may obtain characteristic information about the main content of the packet by vectorizing the payload of the packet.

일 실시예에서, 패킷 벡터화부(330)는 페이로드를 복수의 토큰(token)들 또는 복수의 청크(chunk)들로 분할하고 TF-IDF 알고리즘, 카운트(COUNT) 알고리즘 및 피처해싱(FH) 알고리즘을 포함하는 벡터화 기법을 적용하여 패킷 벡터들을 생성할 수 있다. 페이로드의 길이가 다양하기 때문에 패킷 벡터화부(330)는 페이로드를 소정의 단위요소들로 분할할 수 있으며, 페이로드의 분할에 따라 일련의 스트림을 형성할 수도 있다. 패킷 벡터화부(330)는 다양한 분할 알고리즘을 이용하여 페이로드를 분할할 수 있다. 예를 들어, 패킷 벡터화부(330)는 텍스트 기반의 토크나이저(tokenizer)를 사용하여 페이로드를 복수의 토큰들로 분할할 수 있고, 컨텐츠 기반 청킹(CBC)을 통해 복수의 청크들로 분할할 수 있다.In one embodiment, the packet vectorizer 330 divides the payload into a plurality of tokens or chunks and uses a TF-IDF algorithm, a COUNT algorithm, and a feature hashing (FH) algorithm. Packet vectors may be generated by applying a vectorization technique including Since the length of the payload varies, the packet vectorizer 330 can divide the payload into predetermined unit elements, and a series of streams can be formed according to the payload division. The packet vectorizer 330 may divide the payload using various division algorithms. For example, the packet vectorizer 330 may divide the payload into a plurality of tokens using a text-based tokenizer, and divide the payload into a plurality of chunks through content-based chunking (CBC). can

또한, 패킷 벡터화부(330)는 복수의 토큰들 또는 복수의 청크들 각각을 벡터의 성분에 대응시켜 패킷 벡터를 생성할 수 있으며, TF-IDF 알고리즘, 카운트(COUNT) 알고리즘 및 피처해싱 알고리즘 등을 이용하여 패킷 벡터를 생성할 수도 있다. 예를 들어, 패킷 p1=”a bb c”인 경우, 패킷 p1에 대응하는 패킷 벡터 v1=(a, bb, c)로 변환될 수 있다. 또한, 패킷 p2=”%7#bb”인 경우, 패킷 p2에 대응하는 패킷 벡터 v2=(%7#, c, bb)로 변환될 수 있다. 또한, 패킷 p3=”a1bbc@c”인 경우, 패킷 p3에 대응하는 패킷 v3=(a1, bb, c@c)로 변환될 수 있다.In addition, the packet vectorizer 330 may generate a packet vector by matching each of a plurality of tokens or a plurality of chunks to a component of the vector, using a TF-IDF algorithm, a COUNT algorithm, and a feature hashing algorithm. You can also create a packet vector using For example, when packet p1 = “a bb c”, it may be converted into packet vector v1 = (a, bb, c) corresponding to packet p1. In addition, when packet p2 = “%7#bb”, it may be converted into packet vector v2 = (%7#, c, bb) corresponding to packet p2. In addition, when packet p3 = “a1bbc@c”, it may be converted to packet v3 = (a1, bb, c@c) corresponding to packet p3.

일 실시예에서, 패킷 벡터화부(330)는 패킷 벡터들의 크기를 소정의 벡터 사이즈(vector size)로 제한할 수 있다. 패킷 벡터화부(330)는 이후 단계에서 패킷 벡터들에 관한 클러스터링 동작을 수행하기 위하여 패킷 벡터들에 대해 소정의 벡터 사이즈를 적용할 수 있다. 즉, 각 페이로드를 기초로 생성되는 패킷 벡터들은 벡터 사이즈 이내로 제한되어 생성될 수 있다.In one embodiment, the packet vectorizer 330 may limit the size of packet vectors to a predetermined vector size. The packet vectorizer 330 may apply a predetermined vector size to the packet vectors in order to perform a clustering operation on the packet vectors in a later step. That is, packet vectors generated based on each payload may be generated within a vector size.

패킷 군집화부(340)는 패킷 벡터들을 군집화 하여 복수의 군집들을 생성할 수 있다. 패킷 군집화부(340)는 패킷 벡터들 중에서 유사한 특성을 가진 벡터들을 하나의 군집으로 분류하기 위하여 다양한 클러스터링(clustering) 알고리즘을 활용할 수 있다. 한편, 패킷 군집화부(340)에 의해 사용되는 클러스터링 알고리즘에 따라 이전 단계에서 생성되는 패킷 벡터들의 벡터 사이즈가 결정될 수 있다.The packet clustering unit 340 may generate a plurality of clusters by clustering packet vectors. The packet clustering unit 340 may utilize various clustering algorithms to classify vectors having similar characteristics among packet vectors into one cluster. Meanwhile, the vector size of the packet vectors generated in the previous step may be determined according to the clustering algorithm used by the packet clustering unit 340 .

일 실시예에서, 패킷 군집화부(340)는 패킷 벡터들 간의 거리에 관한 유사성을 기초로 복수의 군집들을 생성할 수 있다. 예를 들어, 패킷 군집화부(340)는 dbscan 알고리즘을 활용하여 패킷 벡터들을 군집화 할 수 있다. 여기에서, dbscan 알고리즘은 밀도 방식의 클러스터링 기법으로서 특정 중심점(core point)을 기준으로 특정 반경(epsilon) 이내에 최소 개수(minPts) 이상의 점들이 존재하는 경우 해당 점들을 하나의 군집으로 생성하는 방식으로 동작할 수 있다. 즉, 패킷 군집화부(340)는 패킷 벡터들 간의 거리가 소정의 거리 이내에 존재하는 경우 해당 패킷 벡터들 사이에 유사성이 존재하는 것으로 결정하여 동일한 군집으로 묶을 수 있다.In an embodiment, the packet clustering unit 340 may generate a plurality of clusters based on similarity of distances between packet vectors. For example, the packet clustering unit 340 may cluster packet vectors using a dbscan algorithm. Here, the dbscan algorithm is a density-based clustering technique, and when there are more than a minimum number of points (minPts) within a specific radius (epsilon) based on a specific core point, the corresponding points are generated as one cluster. can do. That is, when the distance between the packet vectors is within a predetermined distance, the packet clustering unit 340 may determine that there is a similarity between the corresponding packet vectors and group them into the same cluster.

군집 라벨링부(350)는 복수의 군집들 각각을 검사하여 군집 특성에 따른 라벨(label)을 부여할 수 있다. 여기에서, 군집 특성은 해당 군집 내에 존재하는 패킷 벡터들 간의 공통적인 특징 정보에 해당하거나 또는 해당 군집 내의 패킷 벡터들 중 다수에 분포되는 특징 정보에 해당할 수 있다. 군집 라벨링부(350)는 군집 별로 군집 특성을 도출하고 해당 군집에 대한 라벨로서 결정할 수 있다.The cluster labeling unit 350 may inspect each of the plurality of clusters and assign a label according to the characteristics of the cluster. Here, the cluster characteristics may correspond to feature information common between packet vectors existing in the cluster or feature information distributed over a plurality of packet vectors in the cluster. The cluster labeling unit 350 may derive cluster characteristics for each cluster and determine a label for the corresponding cluster.

일 실시예에서, 군집 라벨링부(350)는 복수의 군집들 각각에 대해 군집 내 패킷 벡터들을 샘플링하고 이상 여부를 분석한 결과에 따라 해당 군집의 군집 특성을 결정할 수 있다. 군집 라벨링부(350)는 군집 특성을 결정하기 위하여 특정 군집에 존재하는 모든 패킷 벡터들을 검사할 수도 있으나, 샘플링을 통해 소정의 패킷 벡터들만을 추출한 후 해당 패킷 벡터들의 공통 특성에 기초하여 군집 특성을 추정할 수 있다. 군집 라벨링부(350)는 군집 별로 소정의 개수만큼 랜덤하게 패킷 벡터들을 샘플링할 수 있으며, 반드시 이에 한정되지 않고, 다양한 샘플링 기법이 적용될 수 있음은 물론이다.In an embodiment, the cluster labeling unit 350 may sample packet vectors within a cluster for each of a plurality of clusters and determine cluster characteristics of the corresponding cluster according to a result of analyzing whether or not there is an anomaly. The cluster labeling unit 350 may inspect all packet vectors present in a specific cluster to determine cluster characteristics, but after extracting only predetermined packet vectors through sampling, the cluster characteristics are determined based on common characteristics of the corresponding packet vectors. can be estimated The cluster labeling unit 350 may randomly sample packet vectors by a predetermined number for each cluster, and is not necessarily limited thereto, and various sampling techniques may be applied.

일 실시예에서, 군집 라벨링부(350)는 샘플링된 패킷 벡터들에 대한 분석 결과 다수 분포에 해당하는 특성을 군집 특성으로 결정할 수 있다. 예를 들어, 군집 특성은 샘플링된 패킷 벡터들의 이상 분포 또는 정상 분포를 기초로 결정될 수 있으며, 이에 따라 정상(benign) 또는 악성(Malicious)으로 결정될 수 있다. 다른 예로서, 군집 특성은 악성코드 탐지에 관한 FP(False Positive), TP(True Positive), FN(False Negative), TN(True Negative)에 관한 분포를 기초로 결정될 수 있으며, 이에 따라 FP only, TP+FP, TP only 등으로 결정될 수 있다.In an embodiment, the cluster labeling unit 350 may determine a characteristic corresponding to a majority distribution as a cluster characteristic as a result of analyzing the sampled packet vectors. For example, the cluster characteristics may be determined based on an abnormal distribution or a normal distribution of sampled packet vectors, and accordingly may be determined as benign or malicious. As another example, the cluster characteristics may be determined based on the distribution of FP (False Positive), TP (True Positive), FN (False Negative), and TN (True Negative) related to malware detection, and accordingly, FP only, It can be determined as TP+FP, TP only, etc.

규칙 생성부(360)는 복수의 군집들에 대한 라벨 정보를 기초로 보안관제를 위한 탐지 규칙을 생성할 수 있다. 즉, 탐지 규칙은 군집들에 대한 정보와 군집별 라벨 정보를 기초로 생성될 수 있다. 규칙 생성부(360)는 이벤트 패킷들에 대한 군집 분석을 통해 주기적으로 탐지 규칙을 생성하거나 또는 갱신할 수 있다. 예를 들어, 보안관제 및 침입탐지에 있어서 탐지 규칙은 이상상황 탐지를 위한 블랙리스트(blacklist)와 화이트리스트(whitelist)로 구성될 수 있다.The rule generator 360 may generate a detection rule for security monitoring based on label information on a plurality of clusters. That is, detection rules may be generated based on information about clusters and label information for each cluster. The rule generator 360 may periodically generate or update a detection rule through cluster analysis of event packets. For example, in security control and intrusion detection, detection rules may be composed of a blacklist and a whitelist for detecting abnormal situations.

일 실시예에서, 규칙 생성부(360)는 군집 특성이 정상인 경우 해당 특정 군집을 보안관제를 위한 화이트 리스트(whitelist)에 추가하고, 그렇지 않은 경우 해당 특정 군집을 보안관제를 위한 블랙 리스트(blacklist)에 추가할 수 있다. 예를 들어, 군집 특성이 악성으로 분류되는 경우 규칙 생성부(360)는 해당 군집 및 패킷 벡터들을 화이트 리스트에 추가할 수 있다. 만약 군집 특성이 정상으로 분류되는 경우 규칙 생성부(360)는 해당 군집 및 패킷 벡터들을 블랙 리스트에 추가할 수 있다.In an embodiment, the rule generation unit 360 adds the specific cluster to a whitelist for security control if the cluster characteristics are normal, and if not, adds the specific cluster to a blacklist for security control. can be added to For example, when a cluster characteristic is classified as malicious, the rule generating unit 360 may add the corresponding cluster and packet vectors to a white list. If the cluster characteristics are classified as normal, the rule generating unit 360 may add the corresponding cluster and packet vectors to the black list.

보안관제 수행부(370)는 탐지 규칙을 기초로 외부로부터 수신하는 이벤트 패킷에 대한 보안관제를 수행하고 침입탐지에 관한 알람을 생성할 수 있다. 보다 구체적으로, 보안관제 수행부(370)는 탐지 규칙을 이용하여 외부에서 라우터(router)를 통과하여 들어오는 이벤트 패킷들에 대한 보안관제를 수행할 수 있다. 보안관제 수행부(370)는 이벤트 패킷에서 페이로드를 추출할 수 있고, 해당 페이로드에 대응하는 패킷 벡터를 생성할 수 있으며, 해당 패킷 벡터를 분류하여 기 생성된 군집들 중 어느 하나와 매칭시킬 수 있다. 만약 매칭된 군집이 블랙리스트에 포함되어 있는 경우 보안관제 수행부(370)는 해당 이벤트 패킷에 대한 알람을 생성하여 관리자에게 전달하거나 또는 관제 서버 등으로 전송할 수 있다. 또한, 보안관제 수행부(370)는 패킷 벡터 자체가 블랙리스트 또는 화이트리스트에 포함되어 있는지에 따라 보안관제 동작을 수행할 수도 있다.The security monitoring unit 370 may perform security monitoring on event packets received from the outside based on detection rules and generate an alarm for intrusion detection. More specifically, the security control performing unit 370 may perform security control on event packets that pass through a router from the outside using a detection rule. The security control performing unit 370 may extract a payload from the event packet, generate a packet vector corresponding to the payload, and classify the packet vector to match one of the previously created clusters. can If the matched cluster is included in the blacklist, the security control execution unit 370 may generate an alarm for the corresponding event packet and deliver it to a manager or transmit it to a control server. Also, the security monitoring unit 370 may perform a security monitoring operation according to whether the packet vector itself is included in the blacklist or whitelist.

제어부(도 3에 미도시함)는 알람 처리 장치(130)의 전체적인 동작을 제어하고, 패킷 수신부(310), 패킷 분류부(320), 패킷 벡터화부(330), 패킷 군집화부(340), 군집 라벨링부(350), 규칙 생성부(360) 및 보안관제 수행부(370) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.A controller (not shown in FIG. 3) controls the overall operation of the alarm processing device 130, and includes a packet receiving unit 310, a packet classification unit 320, a packet vectorization unit 330, a packet clustering unit 340, Control flow or data flow between the cluster labeling unit 350 , the rule generation unit 360 and the security control execution unit 370 may be managed.

도 4는 본 발명에 따른 알람 처리 과정을 설명하는 순서도이다.4 is a flowchart illustrating an alarm processing process according to the present invention.

도 4를 참조하면, 알람 처리 장치(130)는 패킷 수신부(310)를 통해 복수의 이벤트 패킷들을 수신할 수 있다(단계 S410). 알람 처리 장치(130)는 패킷 분류부(320)를 통해 복수의 이벤트 패킷들을 소정의 기준에 따라 분류할 수 있다(단계 S420). 알람 처리 장치(130)는 패킷 벡터화부(330)를 통해 분류된 이벤트 패킷들을 각 패킷의 페이로드(payload)를 기초로 벡터화 하여 패킷 벡터들로 변환할 수 있다(단계 S430).Referring to FIG. 4 , the alarm processing device 130 may receive a plurality of event packets through the packet receiver 310 (step S410). The alarm processing device 130 may classify a plurality of event packets according to a predetermined criterion through the packet classification unit 320 (step S420). The alarm processing device 130 may vectorize the event packets classified through the packet vectorization unit 330 based on the payload of each packet and convert them into packet vectors (step S430).

또한, 알람 처리 장치(130)는 패킷 군집화부(340)를 통해 패킷 벡터들을 군집화 하여 복수의 군집들을 생성할 수 있다(단계 S440). 알람 처리 장치(130)는 군집 라벨링부(350)를 통해 복수의 군집들 각각을 검사하여 군집 특성에 따른 라벨(label)을 부여할 수 있다(단계 S450). 알람 처리 장치(130)는 규칙 생성부(360)를 통해 복수의 군집들에 대한 라벨 정보를 기초로 보안관제를 위한 탐지 규칙을 생성할 수 있다(단계 S460).In addition, the alarm processing device 130 may generate a plurality of clusters by clustering the packet vectors through the packet clustering unit 340 (step S440). The alarm processing device 130 may inspect each of the plurality of clusters through the cluster labeling unit 350 and assign a label according to the characteristics of the cluster (step S450). The alarm processing device 130 may generate a detection rule for security monitoring based on label information on a plurality of clusters through the rule generator 360 (step S460).

도 5는 본 발명에 따른 알람 처리 방법과 알람 피로 문제 간의 관계를 설명하는 도면이다.5 is a diagram illustrating a relationship between an alarm processing method according to the present invention and an alarm fatigue problem.

도 5를 참조하면, 알람 처리 장치(130)는 보안 수준을 높이면서 알람 피로(alert fatigue) 문제를 해결하기 위한 방법을 수행할 수 있다. 기존의 경우 이벤트 패킷에 관한 탐지 성능은 FALSE POSITIVE와 TRUE POSITIVE가 모두 높게 나타났으며, 소정의 이벤트를 분석하여 탐지제외규칙을 설정하는 등의 수작업 설정을 통해 FALSE POSITIVE를 낮추는 방향으로 대응하였다. 다만, 이 경우 탐지제외규칙의 일괄적용에 따라 FALSE POSITIVE와 함께 TRUE POSITIVE도 함께 낮아지게 되는 문제가 발생할 수 있다. 알람 처리 장치(130)는 이를 개선하여 FALSE POSITIVE를 낮추면서도 TRUE POSITIVE는 기존보다 높게 유지되는 알람 처리 방법을 수행할 수 있다.Referring to FIG. 5 , the alarm processing device 130 may perform a method for solving an alarm fatigue problem while increasing a security level. In the conventional case, both FALSE POSITIVE and TRUE POSITIVE showed high detection performance for event packets, and responses were made in the direction of lowering FALSE POSITIVE through manual settings such as analyzing a predetermined event and setting detection exclusion rules. However, in this case, a problem may occur in which TRUE POSITIVE is lowered together with FALSE POSITIVE according to the collective application of detection exclusion rules. The alarm processing device 130 may improve this and perform an alarm processing method in which FALSE POSITIVE is lowered while TRUE POSITIVE is maintained higher than before.

도 6은 본 발명에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법을 설명하는 도면이다.6 is a diagram explaining a security control intrusion detection alarm processing method using artificial intelligence according to the present invention.

도 6a 및 6b를 참조하면, 알람 처리 장치(130)는 외부로부터의 유입되는 이벤트 패킷을 검사하여 보안관제를 수행할 수 있다. 특히, 알람 처리 장치(130)는 이벤트 패킷을 소정의 기준에 따라 분류하여 그룹화 할 수 있으며(Grouping), 그룹화된 이벤트 패킷들의 페이로드를 분석하여 페이로드 내용을 반영하는 패킷 벡터들을 생성할 수 있다(Vectorization).Referring to FIGS. 6A and 6B , the alarm processing device 130 may perform security control by examining event packets coming from the outside. In particular, the alarm processing device 130 may classify and group event packets according to a predetermined criterion (Grouping), and analyze payloads of the grouped event packets to generate packet vectors reflecting payload contents. (Vectorization).

또한, 알람 처리 장치(130)는 패킷 벡터들을 기초로 벡터들 간의 유사성에 기초하여 클러스터링을 수행할 수 있으며(Clustering), 클러스터링된 군집들에 대해 각각의 특성에 따른 라벨을 부여할 수 있다(Sampling & Analysis). 알람 처리 장치(130)는 군집들에 대한 특성 정보와 라벨 정보를 기초로 보안관제 및 침입탐지를 위한 규칙을 생성할 수 있으며, 구체적으로 화이트리스트와 블랙리스트를 생성할 수 있다(Rule generation). 알람 처리 장치(130)는 화이트리스트와 블랙리스트를 활용하여 이벤트 패킷에 대한 감시를 통해 보안관제를 수행할 수 있다.In addition, the alarm processing apparatus 130 may perform clustering based on similarity between vectors based on packet vectors (Clustering), and may assign a label according to each characteristic to the clustered clusters (Sampling). & Analysis). The alarm processing device 130 may generate rules for security control and intrusion detection based on the characteristic information and label information of the clusters, and may specifically create a whitelist and a blacklist (Rule generation). The alarm processing device 130 may perform security control by monitoring event packets by utilizing the whitelist and the blacklist.

도 7은 본 발명에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법에 관한 실험 결과를 설명하는 도면이다.7 is a diagram explaining the experimental results of the security control intrusion detection alarm processing method using artificial intelligence according to the present invention.

도 7을 참조하면, KISTI 데이터와 윈스(WINS) 데이터를 기반으로 본 발명에 따른 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법에 관한 실험 데이터를 획득할 수 있다. KISTI 데이터는 라벨이 존재하므로 성능 평가가 가능하며, 각각 학습 데이터와 테스트 데이터로 활용될 수 있다. 윈스 데이터는 라벨이 존재하지 않는 데이터에 해당할 수 있다.Referring to FIG. 7 , based on KISTI data and WINS data, experimental data related to the security control intrusion detection alarm processing method using artificial intelligence according to the present invention can be obtained. Since KISTI data has labels, it is possible to evaluate performance and can be used as training data and test data, respectively. Wins data may correspond to data for which a label does not exist.

본 발명에 따른 알람 처리 방법을 통해 총 8759개의 이벤트 패킷에 대해 클러스터링을 수행한 결과 24개의 군집들과 기타 패킷 집합(Remain_25)이 생성될 수 있다. 이에 따라 본 발명에 따른 알람 처리 방법은 특정 이벤트 패킷을 대상으로 각 군집들과의 비교 및 기타 패킷 집합의 패킷들과의 비교를 수행하여 총 74번의 비교만으로 해당 특정 이벤트 패킷에 대한 탐지 동작을 완료할 수 있다. 특히, 클러스터링을 통해 생성된 24개의 군집들 각각은 정상(Ben) 또는 악성(Mal)으로 분류되는 이벤트 패킷들을 포함할 수 있고, 각 군집에서 다수 분포를 보이는 특징 정보는 해당 군집의 군집 특성으로 결정될 수 있다.As a result of performing clustering on a total of 8759 event packets through the alarm processing method according to the present invention, 24 clusters and other packet sets (Remain_25) can be generated. Accordingly, the alarm processing method according to the present invention performs comparison with each cluster targeting a specific event packet and with packets of other packet sets, and completes the detection operation for the specific event packet with a total of 74 comparisons. can do. In particular, each of the 24 clusters generated through clustering may include event packets classified as normal (Ben) or malicious (Mal), and feature information showing a majority distribution in each cluster may be determined as a cluster characteristic of the corresponding cluster. can

본 발명에 따른 알람 처리 방법은 이벤트 패킷들에 대한 분석을 통해 침입탐지를 위한 탐지 규칙을 자동으로 생성할 수 있으며, 생성된 탐지 규칙을 적용하여 보안관제 동작을 수행할 수 있다. 특히, 이벤트 패킷의 주요 내용이 담긴 페이로드를 분석한 결과를 기초로 이벤트 패킷에 대한 클러스터링을 수행하여 공통된 특징 정보를 사전에 구축함으로써 침입탐지를 위한 감시 동작을 효과적으로 수행할 수 있다.The alarm processing method according to the present invention can automatically generate detection rules for intrusion detection through analysis of event packets, and can perform security control operations by applying the generated detection rules. In particular, clustering of event packets is performed based on the result of analyzing the payload containing the main contents of the event packet, and common feature information is established in advance, thereby effectively performing surveillance operations for intrusion detection.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the claims below. You will understand that it can be done.

100: 알람 처리 시스템
110: 사용자 단말 130: 알람 처리 장치
150: 데이터베이스
210: 프로세서 230: 메모리
250: 사용자 입출력부 270: 네트워크 입출력부
310: 패킷 수신부 320: 패킷 분류부
330: 패킷 벡터화부 340: 패킷 군집화부
350: 군집 라벨링 360: 규칙 생성부
370: 보안관제 수행부100: alarm processing system
110: user terminal 130: alarm processing device
150: database
210: processor 230: memory
250: user input/output unit 270: network input/output unit
310: packet receiving unit 320: packet classification unit
330: packet vectorization unit 340: packet clustering unit
350: cluster labeling 360: rule generator
370: security control department

Claims (15)

복수의 이벤트 패킷들을 수신하는 패킷 수신부;
상기 복수의 이벤트 패킷들을 소정의 기준에 따라 분류하는 패킷 분류부;
분류된 이벤트 패킷들을 각 패킷의 페이로드(payload)를 기초로 벡터화 하여 패킷 벡터들로 변환하는 패킷 벡터화부;
상기 패킷 벡터들을 군집화 하여 복수의 군집들을 생성하는 패킷 군집화부;
상기 복수의 군집들 각각을 검사하여 군집 특성에 따른 라벨(label)을 부여하는 군집 라벨링부; 및
상기 복수의 군집들에 대한 라벨 정보를 기초로 보안관제를 위한 탐지 규칙을 생성하는 규칙 생성부;를 포함하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
a packet receiving unit receiving a plurality of event packets;
a packet classification unit to classify the plurality of event packets according to a predetermined criterion;
a packet vectorization unit which vectorizes the classified event packets based on the payload of each packet and converts them into packet vectors;
a packet clustering unit generating a plurality of clusters by clustering the packet vectors;
a cluster labeling unit for examining each of the plurality of clusters and assigning a label according to cluster characteristics; and
A security control intrusion detection alarm processing device using artificial intelligence comprising: a rule generator for generating a detection rule for security control based on the label information for the plurality of clusters.
 제1항에 있어서, 상기 복수의 이벤트 패킷들 각각은
시간(t), 출발주소(sip), 도착주소(dip), 출발포트(sp), 도착포트(dp), 이벤트 네임(en) 및 상기 페이로드(p)를 포함하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 1, wherein each of the plurality of event packets
Artificial intelligence characterized in that it includes time (t), departure address (sip), destination address (dip), departure port (sp), arrival port (dp), event name (en), and the payload (p) Security control intrusion detection alarm processing device using.
 제1항에 있어서, 상기 패킷 분류부는
이벤트 패킷의 주소와 이벤트 네임을 기준으로 상기 복수의 이벤트 패킷들을 분류하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 1, wherein the packet classification unit
A security control intrusion detection alarm processing device using artificial intelligence, characterized in that for classifying the plurality of event packets based on the address and event name of the event packet.
 제1항에 있어서, 상기 패킷 벡터화부는
상기 페이로드를 복수의 토큰(token)들 또는 복수의 청크(chunk)들로 분할하고 TF-IDF 알고리즘, 카운트(COUNT) 알고리즘 및 피처해싱(FH) 알고리즘을 포함하는 벡터화 기법을 적용하여 상기 패킷 벡터들을 생성하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 1, wherein the packet vectorizer
The packet vector by dividing the payload into a plurality of tokens or a plurality of chunks and applying a vectorization technique including a TF-IDF algorithm, a COUNT algorithm, and a feature hashing (FH) algorithm Security control intrusion detection alarm processing device using artificial intelligence, characterized in that for generating.
 제4항에 있어서, 상기 패킷 벡터화부는
상기 패킷 벡터들의 크기를 소정의 벡터 사이즈(vector size)로 제한하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
5. The method of claim 4, wherein the packet vectorization unit
An intrusion detection alarm processing device for security control using artificial intelligence, characterized in that for limiting the size of the packet vectors to a predetermined vector size.
 제1항에 있어서, 상기 패킷 군집화부는
상기 패킷 벡터들 간의 거리에 관한 유사성을 기초로 상기 복수의 군집들을 생성하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 1, wherein the packet clustering unit
The security control intrusion detection alarm processing device using artificial intelligence, characterized in that for generating the plurality of clusters based on the similarity of the distance between the packet vectors.
 제1항에 있어서, 상기 군집 라벨링부는
상기 복수의 군집들 각각에 대해 군집 내 패킷 벡터들을 샘플링하고 이상 여부를 분석한 결과에 따라 해당 군집의 군집 특성을 결정하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 1, wherein the cluster labeling unit
A security control intrusion detection alarm processing device using artificial intelligence, characterized in that for each of the plurality of clusters, packet vectors in the cluster are sampled and a cluster characteristic of the corresponding cluster is determined according to a result of analyzing whether or not there is an anomaly.
 제7항에 있어서, 상기 군집 라벨링부는
샘플링된 상기 패킷 벡터들에 대한 분석 결과 다수 분포에 해당하는 특성을 상기 군집 특성으로 결정하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 7, wherein the cluster labeling unit
As a result of analysis of the sampled packet vectors, a characteristic corresponding to a majority distribution is determined as the cluster characteristic.
 제1항에 있어서, 상기 규칙 생성부는
상기 군집 특성이 정상인 경우 해당 특정 군집을 상기 보안관제를 위한 화이트 리스트에 추가하고, 그렇지 않은 경우 상기 해당 특정 군집을 상기 보안관제를 위한 블랙 리스트에 추가하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
The method of claim 1, wherein the rule generator
If the cluster characteristics are normal, the specific cluster is added to the white list for security control, and if not, the specific cluster is added to the black list for security control. Detection alarm processing unit.
 제1항에 있어서,
상기 탐지 규칙을 기초로 외부로부터 수신하는 이벤트 패킷에 대한 보안관제를 수행하고 침입탐지에 관한 알람을 생성하는 보안관제 수행부;를 더 포함하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치.
According to claim 1,
Security control intrusion detection alarm processing using artificial intelligence; further comprising a security control execution unit for performing security control on event packets received from outside based on the detection rule and generating an alarm related to intrusion detection. Device.
 복수의 이벤트 패킷들을 수신하는 단계;
상기 복수의 이벤트 패킷들을 소정의 기준에 따라 분류하는 단계;
분류된 이벤트 패킷들을 각 패킷의 페이로드(payload)를 기초로 벡터화 하여 패킷 벡터들로 변환하는 단계;
상기 패킷 벡터들을 군집화 하여 복수의 군집들을 생성하는 단계;
상기 복수의 군집들 각각을 검사하여 군집 특성에 따른 라벨(label)을 부여하는 단계;
상기 복수의 군집들에 대한 라벨 정보를 기초로 보안관제를 위한 탐지 규칙을 생성하는 단계; 및
상기 탐지 규칙을 기초로 외부로부터 수신하는 이벤트 패킷에 대한 보안관제를 수행하고 침입탐지에 관한 알람을 생성하는 단계;를 포함하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법.
receiving a plurality of event packets;
classifying the plurality of event packets according to a predetermined criterion;
vectorizing the classified event packets based on the payload of each packet and converting them into packet vectors;
generating a plurality of clusters by clustering the packet vectors;
examining each of the plurality of clusters and assigning a label according to cluster characteristics;
generating a detection rule for security monitoring based on label information on the plurality of clusters; and
A security control intrusion detection alarm processing method using artificial intelligence comprising: performing security control on event packets received from the outside based on the detection rule and generating an alarm related to intrusion detection.
 제11항에 있어서, 상기 패킷 벡터들로 변환하는 단계는
상기 페이로드를 복수의 토큰(token)들 또는 복수의 청크(chunk)들로 분할하고 TF-IDF 알고리즘, 카운트(COUNT) 알고리즘 및 피처해싱(FH) 알고리즘을 포함하는 벡터화 기법을 적용하여 상기 패킷 벡터들을 생성하는 단계를 포함하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법.
12. The method of claim 11, wherein the converting to packet vectors comprises:
The packet vector by dividing the payload into a plurality of tokens or a plurality of chunks and applying a vectorization technique including a TF-IDF algorithm, a COUNT algorithm, and a feature hashing (FH) algorithm Security control intrusion detection alarm processing method using artificial intelligence, characterized in that it comprises the step of generating.
 제11항에 있어서, 상기 복수의 군집들을 생성하는 단계는
상기 패킷 벡터들 간의 거리에 관한 유사성을 기초로 상기 복수의 군집들을 생성하는 단계를 포함하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법.
12. The method of claim 11, wherein generating a plurality of clusters
The security control intrusion detection alarm processing method using artificial intelligence, characterized in that it comprises generating the plurality of clusters based on the similarity of the distance between the packet vectors.
 제11항에 있어서, 상기 라벨(label)을 부여하는 단계는
상기 복수의 군집들 각각에 대해 군집 내 패킷 벡터들을 샘플링하고 이상 여부를 분석한 결과에 따라 해당 군집의 군집 특성을 결정하는 단계를 포함하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법.
12. The method of claim 11, wherein the step of assigning the label
A security control intrusion detection alarm processing method using artificial intelligence comprising the step of sampling packet vectors in a cluster for each of the plurality of clusters and determining a cluster characteristic of the corresponding cluster according to a result of analyzing whether there is an anomaly or not. .
 제11항에 있어서, 상기 탐지 규칙을 생성하는 단계는
상기 군집 특성이 정상인 경우 해당 특정 군집을 상기 보안관제를 위한 화이트 리스트에 추가하고, 그렇지 않은 경우 상기 해당 특정 군집을 상기 보안관제를 위한 블랙 리스트에 추가하는 단계를 포함하는 것을 특징으로 하는 인공지능을 이용한 보안관제 침입탐지 알람 처리 방법.

12. The method of claim 11, wherein generating the detection rule
If the cluster characteristics are normal, adding the specific cluster to the white list for security control, and if not, adding the specific cluster to the black list for security control. Security control intrusion detection alarm handling method.
KR1020210082724A 2021-06-24 2021-06-24 Security monitoring intrusion detection alarm processing device and method using artificial intelligence KR102559398B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210082724A KR102559398B1 (en) 2021-06-24 2021-06-24 Security monitoring intrusion detection alarm processing device and method using artificial intelligence

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210082724A KR102559398B1 (en) 2021-06-24 2021-06-24 Security monitoring intrusion detection alarm processing device and method using artificial intelligence

Publications (2)

Publication Number Publication Date
KR20230000376A true KR20230000376A (en) 2023-01-02
KR102559398B1 KR102559398B1 (en) 2023-07-25

Family

ID=84925558

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210082724A KR102559398B1 (en) 2021-06-24 2021-06-24 Security monitoring intrusion detection alarm processing device and method using artificial intelligence

Country Status (1)

Country Link
KR (1) KR102559398B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117135623A (en) * 2023-10-24 2023-11-28 奥鼎智通(北京)科技有限公司 Method, system and storage medium for safely transmitting D2D data under 6G

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (en) * 2014-02-04 2015-08-12 한국전자통신연구원 Method and System of Network Traffic Analysis for Anomalous Behavior Detection
KR20170091989A (en) 2016-02-02 2017-08-10 동신대학교산학협력단 System and method for managing and evaluating security in industry control network
KR20210011822A (en) * 2019-07-23 2021-02-02 주식회사 엑셈 Method of detecting abnormal log based on artificial intelligence and system implementing thereof
KR20210035502A (en) * 2019-09-24 2021-04-01 국민대학교산학협력단 Machine learning-based learning vector generation device and method for analyzing security logs

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150091775A (en) * 2014-02-04 2015-08-12 한국전자통신연구원 Method and System of Network Traffic Analysis for Anomalous Behavior Detection
KR20170091989A (en) 2016-02-02 2017-08-10 동신대학교산학협력단 System and method for managing and evaluating security in industry control network
KR20210011822A (en) * 2019-07-23 2021-02-02 주식회사 엑셈 Method of detecting abnormal log based on artificial intelligence and system implementing thereof
KR20210035502A (en) * 2019-09-24 2021-04-01 국민대학교산학협력단 Machine learning-based learning vector generation device and method for analyzing security logs

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117135623A (en) * 2023-10-24 2023-11-28 奥鼎智通(北京)科技有限公司 Method, system and storage medium for safely transmitting D2D data under 6G
CN117135623B (en) * 2023-10-24 2024-01-23 奥鼎智通(北京)科技有限公司 Method, system and storage medium for safely transmitting D2D data under 6G

Also Published As

Publication number Publication date
KR102559398B1 (en) 2023-07-25

Similar Documents

Publication Publication Date Title
Karatas et al. Deep learning in intrusion detection systems
CN108429651B (en) Flow data detection method and device, electronic equipment and computer readable medium
CN107135093B (en) Internet of things intrusion detection method and detection system based on finite automaton
CN112953971B (en) Network security flow intrusion detection method and system
WO2019084072A1 (en) A graph model for alert interpretation in enterprise security system
CN109861957A (en) A kind of the user behavior fining classification method and system of the privately owned cryptographic protocol of mobile application
KR20210092464A (en) Apparatus and method for analyzing network traffic using artificial intelligence
US20200099597A1 (en) Scalable unsupervised host clustering based on network metadata
Khandait et al. IoTHunter: IoT network traffic classification using device specific keywords
Brandao et al. Log Files Analysis for Network Intrusion Detection
Aminanto et al. Automated threat-alert screening for battling alert fatigue with temporal isolation forest
Gangwar et al. A survey on anomaly and signature based intrusion detection system (IDS)
KR102559398B1 (en) Security monitoring intrusion detection alarm processing device and method using artificial intelligence
US9398040B2 (en) Intrusion detection system false positive detection apparatus and method
Miller et al. The impact of different botnet flow feature subsets on prediction accuracy using supervised and unsupervised learning methods
Nguyen et al. An approach to detect network attacks applied for network forensics
Ramström Botnet detection on flow data using the reconstruction error from Autoencoders trained on Word2Vec network embeddings
Liu et al. Anomaly detection of command shell sessions based on distilbert: Unsupervised and supervised approaches
Protic et al. WK-FNN design for detection of anomalies in the computer network traffic
Li et al. FusionTC: Encrypted App Traffic Classification Using Decision‐Level Multimodal Fusion Learning of Flow Sequence
CN113824730A (en) Attack analysis method, device, equipment and storage medium
Ramprasath et al. Cloud Service Anomaly Traffic Detection Using Random Forest
Said et al. Attention-based CNN-BiLSTM deep learning approach for network intrusion detection system in software defined networks
Shim et al. Effective behavior signature extraction method using sequence pattern algorithm for traffic identification
Boulaiche et al. A quantitative approach for intrusions detection and prevention based on statistical n-gram models

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant